{"id":105,"date":"2026-01-19T15:50:10","date_gmt":"2026-01-19T14:50:10","guid":{"rendered":"https:\/\/helloblog.io\/de\/cve-2026-23550-modular-ds-plugin-wird-aktiv-ausgenutzt\/"},"modified":"2026-01-20T06:32:37","modified_gmt":"2026-01-20T05:32:37","slug":"cve-2026-23550-modular-ds-plugin-wird-aktiv-ausgenutzt","status":"publish","type":"post","link":"https:\/\/helloblog.io\/de\/cve-2026-23550-modular-ds-plugin-wird-aktiv-ausgenutzt\/","title":{"rendered":"CVE-2026-23550: Modular DS-Plugin wird aktiv ausgenutzt \u2013 so pr\u00fcfst du WordPress-Seiten auf Admin-\u00dcbernahmen"},"content":{"rendered":"\n

Wer WordPress in Kundenprojekten betreibt, kennt das Muster: Ein Plugin bringt Komfort, \u00f6ffnet aber nebenbei einen neuen Angriffsvektor. Beim Plugin Modular DS<\/strong> ist genau das gerade akut \u2013 eine Schwachstelle mit maximaler Bewertung (CVE-2026-23550, CVSS 10.0) wird laut Patchstack bereits “in the wild” ausgenutzt, um Administratorzugriff ohne Authentifizierung<\/strong> zu erlangen.<\/p>\n\n\n\n

Was ist betroffen \u2013 und warum ist das so kritisch?<\/h2>\n\n\n\n

Die L\u00fccke betrifft alle Modular-DS-Versionen bis einschlie\u00dflich 2.5.1<\/strong>. Gepatcht wurde sie laut Maintainer in Version 2.5.2<\/strong>. Brisant: Das Plugin soll bei WordPress auf \u00fcber 40.000 aktiven Installationen<\/strong> laufen \u2013 also nicht nur in Nischenprojekten.<\/p>\n\n\n\n

Im Kern handelt es sich um eine unauthenticated privilege escalation<\/strong>: Ein Angreifer braucht kein Konto und keine g\u00fcltige Session, kann aber durch den Exploit letztlich Funktionen erreichen, die bis hin zu einem Admin-Login f\u00fchren. Das ist in der Praxis oft gleichbedeutend mit Full Takeover: b\u00f6sartige \u00c4nderungen, Malware, Redirects auf Scam-Seiten, neue Admin-User, Persistenz \u00fcber Plugins oder Backdoors.<\/p>\n\n\n\n

Technischer Hintergrund: Routing-Layer, \u201edirect request\u201c und ein zu gro\u00dfz\u00fcgiges Trust-Modell<\/h2>\n\n\n\n

Modular DS legt eigene Endpoints unter dem Prefix \/api\/modular-connector\/<\/code><\/strong> frei. Diese Routen sollten eigentlich durch eine Authentifizierungsbarriere gesch\u00fctzt sein. Laut Patchstack l\u00e4sst sich diese Schutzschicht jedoch umgehen, sobald ein bestimmter Modus aktiv ist: der \u201edirect request\u201c-Modus<\/strong> (sinngem\u00e4\u00df: eine Anfrage wird als interne\/vertrauensw\u00fcrdige Modular-Anfrage behandelt).<\/p>\n\n\n\n

Der Bypass funktioniert demnach, indem bei einer Request Parameter gesetzt werden \u2013 konkret origin=mo<\/code><\/strong> plus ein type<\/code><\/strong>-Parameter (Wert beliebig). Dadurch wird die Anfrage als Modular-Direktanfrage klassifiziert, ohne dass eine kryptografische Bindung<\/strong> zwischen der eingehenden Request und dem tats\u00e4chlichen Modular-Dienst besteht.<\/p>\n\n\n\n

\n\n

Wichtig f\u00fcr die Risikoeinsch\u00e4tzung<\/h4>\n\n\n

Laut Patchstack ist der Bypass besonders dann relevant, wenn die WordPress-Instanz bereits mit Modular verbunden ist (Tokens vorhanden bzw. erneuerbar). Dann kann das Auth-Middleware-Konzept ausgehebelt werden, obwohl der Angreifer nicht \u201eModular\u201c ist.<\/p>\n\n<\/div>\n\n\n\n

Patchstack nennt mehrere dadurch exponierte Routen, u. a. \/login\/<\/code><\/strong>, \/server-information\/<\/code><\/strong>, \/manager\/<\/code><\/strong> und \/backup\/<\/code><\/strong> \u2013 also Endpoints, die in vielen Setups sensible Informationen preisgeben oder direkt administrative Aktionen erm\u00f6glichen.<\/p>\n\n\n\n

Der eigentliche Angriffspfad: Admin-Login \u00fcber \/login\/{modular_request}<\/code><\/h2>\n\n\n\n

Der gef\u00e4hrlichste Teil ist laut Beschreibung, dass ein Angreifer den Endpoint \/api\/modular-connector\/login\/<\/code><\/strong> bzw. die Route \/login\/{modular_request}<\/code><\/strong> nutzen kann, um am Ende als Administrator eingeloggt<\/strong> zu werden. Patchstack beschreibt das als Kombination aus permissivem Route-Matching, aushebelbarer Authentifizierung und einem Login-Flow, der auf ein Admin-Konto \u201ezur\u00fcckf\u00e4llt\u201c.<\/p>\n\n\n\n

Aktive Ausnutzung: Was wurde beobachtet?<\/h2>\n\n\n\n

Patchstack zufolge wurden Angriffe erstmals am 13. Januar 2026 gegen 02:00 UTC<\/strong> beobachtet. Das Muster: HTTP-GET-Requests auf \/api\/modular-connector\/login\/<\/code><\/strong>, anschlie\u00dfend Versuche, einen neuen Admin-User<\/strong> anzulegen.<\/p>\n\n\n\n

Als Ursprung werden in der Meldung u. a. diese IPs genannt:<\/p>\n\n\n\n